{:fr}

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific.

Aujourd’hui, on se retrouve pour parler du Règlement Général sur la Protection des Données (ou RGPD). Il s’agit du texte de référence en matière de protection des données à caractère personnel. Le RGPD est entré en application le 25 mai 2018 dans les Etats membres de l’UE. Mais il n’est pas toujours très simple à appliquer. C’est pour cela que je vous viens en aide aujourd’hui avec la question suivante.
Lorsqu’une entreprise met en place un procédé d’anonymisation, est-ce qu’elle est quand même obligée d’appliquer le RGPD ?

Petit rappel sur l’anonymisation

Pour rappel, l’anonymisation est un procédé qui va permettre d’empêcher toute réidentification des données. C’est-à-dire que lorsque l’on met en place un anonymisation, il va être impossible, derrière, de réidentifier les données que l’on a anonymisé. L’anonymisation se distingue de la pseudonymisation puisqu’à l’inverse, la pseudonymisation va permettre la réidentification en couplant la donnée pseudonymisée avec d’autres données. Pour être plus claire, l’anonymisation est un procédé qui va rendre les données anonymes de manière irréversible.

L’anonymisation – comme la pseudonymisation d’ailleurs – constitue une mesure de sécurité, c’est-à-dire qu’elle va permettre de protéger les données à caractère personnel qui sont traitées par une entreprise.

Après l’anonymisation, est-il nécessaire d’appliquer les autres règles du RGPD?

Mais elle n’est pas suffisante pour permettre de ne pas appliquer les autres règles du RGPD. En voici deux raisons. La première c’est que le RGPD s’applique dans deux cas : soit lorsque l’entreprise est établie sur un Etat membre de l’Union Européenne, soit lorsque l’entreprise traite les données des citoyens de l’Union Européenne.

La deuxième raison, c’est que le RGPD n’est pas constitué que d’un ensemble de mesures de sécurité, il y a bien d’autres obligations qui découlent du RGPD. Comme par exemple la mise en place de registres de traitement, l’analyse d’impact. Ensuite, l’encadrement des transferts en dehors de l’UE et tout un tas d’autres mesures qui sont mises en place par ce texte.

En conclusion, l’anonymisation est un moyen de garantir sa conformité au RGPD. Toutefois, elle ne suffit pas à être conforme au RGPD. Il faut pour cela mettre en place toutes les autres obligations qui découlent du RGPD.

Et voilà, j’espère que vous avez aimé cette vidéo, si c’est le cas n’hésitez pas à vous abonner à la chaine et à aimer cette vidéo. Vous trouverez dans la barre toutes les informations concernant nos prestations et notamment la veille juridique mensuelle ainsi que le conseil juridique en recherche clinique. Et nous on se retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

{:}{:en} Hello everyone, this is Manon DURAND, health lawyer at Pharmaspecific. Today, we meet to talk about the General Data Protection Regulation (or GDPR), which is the reference text for personal data protection. The GDPR went into effect on May 25, 2018 in the EU member states. But it is not always very simple to apply. That’s why I’m here to help you today with the following question: when a company implements an anonymization process, does it have to apply the GDPR? As a reminder, anonymization is a process that will prevent any re-identification of data. That is to say that when we set up an anonymization, it will be impossible, afterwards, to re-identify the data that we have anonymized. Anonymization differs from pseudonymization because, conversely, pseudonymization allows re-identification by coupling the pseudonymized data with other data. To be clearer, anonymization is a process that will render data irreversibly anonymous. Anonymization – like pseudonymization – is a security measure, i.e., it protects personal data processed by a company. But it is not sufficient to allow not to apply the other rules of the GDPR for two reasons. The first is that the GDPR applies in two cases: either when the company is established in a member state of the European Union, or when the company processes the data of European Union citizens. The second reason is that the GDPR is not only a set of security measures, there are many other obligations that arise from the GDPR such as the establishment of processing registers, impact assessment, control of transfers outside the EU and a whole bunch of other measures that are put in place by this text. In conclusion, anonymization is a way to ensure compliance with the GDPR, however, it is not enough to be GDPR compliant. It is necessary to implement all the other obligations that arise from the GDPR. I hope you liked this video, if you did, please subscribe to the channel and like it. You will find in the information bar all the information concerning our services and in particular the monthly legal watch as well as the legal advice in clinical research. And we’ll see you soon for a new video.{:}